「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは?(1/4 ページ)
働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。
多様な働き方を認める「働き方改革」。さまざまなデバイスやOS、ネットワークを活用する、モバイルワークやリモートワークには、常にマルウェア感染や情報漏えいのリスクがつきまとう。利便性とセキュリティは常にトレードオフの関係にあると言ってもいい。
ITmedia エンタープライズが2018年3月に開催したセミナー「働き方改革のリアル」では、“働き方改革のために、セキュリティをどうすべきか”というテーマで多くの講演が行われた。セキュリティトラックの基調講演には、ゲヒルンの代表取締役であり、さくらインターネットのCISOでもある石森大貴氏が登場した。
リモートワーク時代には、ネットワークの安全性確保が最重要
小学生のころから“ハッキング”をしていたという石森氏。講演の冒頭では、働き方改革におけるセキュリティについて、「ネットワークの安全性をいかに確保するかが最大の問題」と述べた。例えば、在宅勤務を行うケースで、無線LANのセキュリティ対策をきちんと行っている人はどれだけいるだろうか。
外出先で公衆無線LANを使うときもリスクはある。最新の公衆無線LANではセキュリティプロトコルとしてWPA2-PSKが用いられているケースは多いが、全てのクライアントが同一のパスワードを使うため、石森氏によれば「『4-way handshake』段階からネットワークの内部を見ていれば、個々のクライアントで設定される暗号鍵(GTK)を導き出すことも不可能ではない。その場合、通信内容を盗聴される可能性がある」という。
また、安全そうに見える“偽の”公衆無線LANのアクセスポイントを作るアプリケーションがあることも指摘。ルーター設定画面、認証画面、接続画面の偽物を表示させることで「セキュリティ対策のリテラシーがそれほど高くない人であれば、だまされてしまう可能性がある」(石森氏)という。携帯電話のSIMを使って相互認証を行う「EAP-SIM認証」であれば、偽のアクセスポイントには接続しないため、比較的安全性が高いそうだ。
無線LANの接続方式の1つ「WPA2-PSK」では、接続デバイスごとに別の暗号鍵(GTK)を使用するが、公衆無線LANの場合、4-way handshakeから盗聴されてしまえば、通信の盗聴が可能になると指摘した一方、公衆無線LANだけではなく、社内ネットワークも安全とは限らないと石森氏は言う。ひとたび社内ネットワークに侵入されると、「内部だから安全」という前提が破綻してしまうためだ。働き方改革によって、リモートワークが多くなることで、社外と社内を分け、ファイアウォールやアンチウイルスなどで内部を守る「境界防御」に限界が来る、と石森氏は警鐘を鳴らす。
Copyright © ITmedia, Inc. All Rights Reserved.